圖片來源: 

Freedom to Tinker

普林斯頓大學資訊科技政策中心(Center for Information Technology Policy)旗下的Freedom to Tinker周三(12/27)警告,第三方腳本程式可開採各大瀏覽器中所內建的密碼管理員,於不知不覺中取得使用者的機密資料。

這些腳本程式的主要目的是追蹤使用者於網站上的瀏覽行為。當使用者登入網站並要求瀏覽器儲存登入資訊之後,腳本程式即藏匿在同一網站上的其它網頁伺機而動,一旦使用者造訪該網頁,它就會藉由隱藏的登入格式來汲取使用者的電子郵件帳號,以建立追蹤的身分識別,再將資料傳送到第三方的伺服器上。(來源:Freedom to Tinker)

在上述程序中,瀏覽器的密碼管理員會受到隱藏登入格式的召喚,並自動填入資訊。

研究人員找到了兩支用來竊取使用者電子郵件帳號的腳本程式—Adthink與OnAudience,並於Alexa前100萬大網站中的1110個網站發現它們的蹤跡。

其中,Adthink是由專門分析匿名資料的audienceinsights.net所開發,除了電子郵件之外,它還蒐集了使用者的生日、年紀、性別、特徵、興趣及所在區域等資料;至於OnAudience則是來自提供大數據工具的同名公司,除了電子郵件資料外也蒐集瀏覽器、作業系統與CPU資訊。這兩家業者蒐集資訊的目的皆為分析與行銷。

其實瀏覽器已內建同源政策(Same Origin Policy)來限制腳本程式只能存取同一網站的文件以避免跨站攻擊,但上述的攻擊模式卻是第三方業者將腳本程式嵌在同一網站上,且大多數的網站並沒有足夠的時間或技術來評估這些程式的安全性。

研究人員認為,自動填入功能不只是個安全漏洞,還帶來了隱私威脅,建議網站應該以子網域來隔離登入頁面,鼓勵使用者安裝廣告封鎖或追蹤保護機制,亦呼籲瀏覽器業者應允許使用者關閉自動填入功能。


Advertisement

更多 iThome相關內容